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PROCEDE DE CONTROLE D'ACCES DANS UNE WIEWIOIRE FLASH ET 
SYSTEME POUR LA WISE EN CEUVRE D'UN TEL PROCEDE 



La presents invention concerne un precede de controle d'acces 
dans une m6moire flash d'un module electronlque ainsi que ie module pour 
la mise en oeuvre d'un tel precede. 
5 L'invention s'applique selon une forme de realisation particuliere, a 

un objet portable tel qu'une carte k circuit integre. Les cartes a circuits 
integres peuvent etre par exemple des cartes a memoire ou des cartes a 
microprocesseur. 

Dans le cadre de l'invention, Ie terme "objet portable" doit etre 
10 compris dans son sens le plus general. II conceme notamment toutes sortes 
de terminaux legers munis d'une puce electronlque, et plus partlculierement 
les cartes a puce proprement dites. La puce electronlque est munie elle- 
meme de moyens de traitement d'informations (par exemple un 
microprocesseur) et de moyens de memorisation d'informations. 

15 

DOMAINE TECHNIQUE 

Actueliement, une nouvelle technologie de memoire non volatile est 
en cours d'introduction dans les cartes k puces : la technologie Flash. La 

20 memoire Flash est organises en secteurs comme le montre la figure 1 
(secteurs 1 , 2 et 3). Chaque secteur est un bloc memoire de taille unique. 
Uespace memoire de chaque secteur est divise en pages memoire, par 
exemple de 128 octets, regroupees en partitions, ou segments, (ex. : 
partition ApplH, partition AppU2, partition Appli3 et partition OS du secteur 1 

25 sur la figure 1) dans lesquelles sont implantes divers modules logicieis 
(Applil , Appli2, AppliS, OS). Une partition rassemble I'ensemble des pages 
d'un secteur attribu6 a un meme proprletaire. 

Dans les cartes multi-applicatives, plusieurs applications peuvent 



partager un meme secteur (par exemple, les applications 1. 2 et 3 sa 
partagent le secteur 1 sur fa figure 1 ). 

Les controleurs d'acces de type connu autorisent a une application 
donnee I'acces en ecriture a un secteur dont eile est propri^taire ou qu'elle 
5 partage. Dans la memoire Flash, un secteur definit I'unite de memoire 
effagable : cette speclficite impllque I'effacement de la totality d'un secteur si 
I'on desire modifier une partie non vierge de son contenu, telle que par 
exemple la modification d'une partition. Pour ecrire dans une partie non 
vierge d'un secteur, la totalite du secteur est effac^e : un secteur constitue 
10 une unite indivisible pour I'effacement. Ainsi, comme le montre la figure 1 , si 
I'application 1 souhaite modifier le secteur 1. elle pourra effacer les donnees 
de I'application 2 ou meme du systeme d'exploitation. Lors de I'effacement 
avant Venture, des dommages irremediables sur des partitions contenant 
des donnees d'autres applications peuvent etre causes. 
15 Une solution connue est d'attribuer un secteur entier ^ un seul 

proprietaire. Dependant, lorsque le secteur est de grande taille. il en resulte 
une perte importante de memoire et un manque de souplesse. 

Un but de la pr6sente invention est d'optlmiser I'ecrlture dans une 
memoire Flash. 
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RESUME DE L'INVENTION 



La presente invention concerne un precede de controle d'acces a un 
secteur d'une memoire de type Flash d'un module electronique consistent a 
25 verifier que le proprietaire des donnees a §crire est autoris§ ^ acceder en 
ecriture ^ une partition dudit secteur caracteris§ en ce qu'il consists a 
verifier au moins une regie suppl^mentaire sur le secteur concerns de 
manidre a autorlser un eventuel effacement de I'ensemble dudit secteur 
avant d'ecrire dans celui-ci. 

-La pms-6nte ihveritron conceme 6gaTement le module" electronique 
comportant des moyens de traitement de I'information, une memoire non 
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volatile de type FLASH caracterise en ce qu'il comporte un gestionnaire de 
memoire consistant d verifier sur le secteur concerne au moins une regie 
supplementaire a celle consistant a v§rifier que le proprietaire des donnees 
a ecrire est autoris6 S acc^der en Venture a une partition dudit secteur, de 
5 maniere-a autoriser un 6ventuel effacement de Tensemble dudit secteur 
avant d'ecrire dans celui-ci. 

DESCRIPTION SOMMAIRE DES DESSINS 

10 D'autres buts, avantages et caracteristlques de 1' invention 

apparaltront a la lecture de la description qui va suivre de la mise en oeuvre 
du precede selon I'invention et d'un mode de realisation d'un ensemble 
electronique adapte pour cette mise en oeuvre, donnes a titre d'exemple non 
limitatif en reference aux dessins ci-annexes dans lesquels : 

t5 -la figure 1 montre une representation schematique de I'organisation 

d'une memoire Flash ; 

-la figure 2 montre une representation sch§matique d'un mode de 
realisation non limitatif d'une unite electronique ^ microprocesseur 
adaptee pour mettre en oeuvre le precede selon I'invention ; 
20 -la figure 3 represente de maniere schematique les differentes 

couches logicielles et materielles du systeme de controle d'accds 
selon la pr^sente invention. 

MANIERE DE REALISER L'INVENTION 

25 

Le proc§d§ selon I'invention vise a optimiser I'ecriture dans une 
memoire Flash d'un systeme Electronique, tel que par exemple tout objet 
portable muni d'un module Electronique et plus particuliErement une carte a 
circuit integre. Le systeme Electronique comprend au moins un processeur 
30 et une memoire non-volatile de type Flash. Par mEmoire de type flash, on 
entend dans la description qui suit toute memoire organisee en secteur, le 



secteur constituant une unite indivisible d'effacement, ie secteur etant lui- 
meme subdivise en pages memoire susceptibles d'etre attribuees a des 
proprietaires differents. 

A titre d'exemple non limitatif. Ie systeme electronique decrit dans ce 
5 qui suit correspond a un objet portable comprenant un module electronique 
1 illustre sur la figure 1, De tels modules sont realises Ie plus souvent sous 
la forme d'un microcircuit Electronique integre monolithique, ou puce, qui 
une fois proteg6 physiquement par tout moyen connu peut §tre monte sur un 
objet portatif tel que par exemple une carte a puce, carte a microcircuit ou 
10 autre utilisable dans divers domaines. 

Le module electronique 1 a microprocesseur comprend un 
microprocesseur CPU 3 relie de fagon bidirectionnelle par un bus 5 interne ^ 
une memoire 7 non volatile de type Flash contenant des applications 9, 
applil, appli2, appliS, a executer, une memoire 11 vive de type RAM, des 
1 6 moyens 1 3 I/O d'entree/sortie pour communiquer avec I'exterleur. 

Comme represents sur la figure 3, on distingue a partir de la couche 
materielle constituee de la memoire Flash 7 et d'un controfeur 15 d'acces a 
la memoire 7, une couche logicielle comprenant un gestionnaire 17 de 
memoire associe ou non a un pilote 19 et une couche logicielle comprenant 
20 des applications 21 residantes par exemple un programme du systeme 
d'exploitation et des applications 23 « utilisateur » correspondant a des 
fonctionnalites precises (exemple pour une carte a circuit integre : carte 
bancaire, carte sante, carte d' identification de personnes). Cette 
representation illustre de maniere schematique uniquement le systeme de 
25 controle d'acces a la memoire. sachant que les couches materielles et 
logicielles comprennent beaucoup - d'autres modules de fonctionnalites 
diverses. 

Le contrdleur 15 d'acces a pour fonction de verifier que celui qui 
veut acc6der § une adresse de la memoire detient les droits pour le faire. De 
io fagon generate, le controleur 15 d'acces peut §tre rdalis6 sous la forme de 
fenetres ouvertes sur une suite de pages (tel qu'un dispositif de 
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segmentation MPU) ou isous la forme de matrices d'acc^s seml-statiques 
associant des attributs aux pages (dispositif de type partition MAC). 
L'association d'applications a des zones memoire se fait soil a la 
configuration soit lors de la selection d'une application. De tels mecanismes 
5. n'autorisent I'acces en memoire que pour des couples predetermines code / 
zone de donnees. Dans le cas d'une matrice d'acces, par exemple, le role 
du controleur d'acces au moment de I'execution se limite a une simple 
comparaison entre I'identite du « proprietaire » de la page et I'identite du 
module qui cherche a acceder a cette page. 
10 Selon la pr§sente Invention, le gestlonnaire 17 de memoire 

intercepte les ecritures en memoire 7 Flash et effectue une verification 
supplementaire sur le secteur conceme avant d'autorlser ou pas 
I'effacement du secteur consecutif a I'ecriture. La verification determine si 
I'effacement provoque par I'ecriture n'aura pas pour consequence de 
15 supprlmer des donnees appartenant a d'autres proprietaires. Le terme 
« donnee » dans la presente description recouvre tout type d' informations 
enregistrees dans la memoire que ce soit du code, des donnees ou autres. 
Les Ventures ne doivent jamais se faire directement en memoire, ni par 
appel direct ^ un pilote, mais se faire via appel audit gestlonnaire de 
20 memoire. Le gestlonnaire peut egalement verifier les droits en ecriture dans 
la page indiquee. 

Le precede selon I'invention consiste a I'aide du gestlonnaire de 
memoire, a verifier un ensemble de regies pour I'ensemble du secteur 
concerne, de maniere a autoriser I'effacement d'un secteur avant d'ecrire 

25 dans celui-ci. 

Le jeu de regie portent sur le secteur prend en consideration le 
proprietaire ou les proprietaires des pages du segment conceme et le 
contenu des pages. Le jeu de regies verifie que I'ecriture ne peut pas 
supprimer des donnees a conserver et en partlculler de donnees d'un 
30 proprietaire autre que celui qui requiert I'ecriture. 

Ainsi la verification s'appuie sur une ou plusieurs regle(s) du type : 



L'ecriture est autorisee si : 
o remplacement dans le secteur duquel recritura 
doit se faire est vierge, sachant que le secteur n'est pas 
forcement totaiement vierge ; Tecriture n'engendre pas 
5 d'effacement ; 

o Et/ou le secteur entier appartient au meme 
proprietaire ; 

o. Et/ou les pages n'appartenant pas au meme 
proprietaire sont vierges ; 
"^0 o Et/ou les pages n'appartenant pas au. meme 

proprietaire sont marques comme effagables. 
Dans ia presente description, on dit qu'un secteur est vierge lorsque 
aucune ecriture n'a ete realisee dans le secteur ou lorsque le secteur a ete 
efface et qu'aucune nouvelle ecriture n*a ete realisee depuis Teffacement 
15 Selon une forme de realisation particuliere de invention, le module 

selon la presente Invention comprend Tensemble de ces regies. 
Le gestionnaire dispose de : 

une description 27 de la memoire stockee en memoire : 
o nombre de secteurs 
20 o nombres de pages par secteur 

o proprietaire de chaque page 
o le statut des pages (effa9able, vierge ou non 

vierge) 

une description de la requete en cours : 
25 o le secteur concerne (a partir de I'adresse) 

o le proprietaire emetteur de la requete 
et un jeu de regies 29. 
Le gestionnaire de memoire permet a un proprietaire de marquer des 
pages lui appartenant comme effagables. Comme vu precedemment, le 
30 - gestionnaire conserve le statut des pages marquees cbmirie effagables dans 
la description 27. 



De plus, le gestionnaire de memoire doit respecter les conditions 
suivantes : 

^ Le code de verification doit etre execute avec les privileges 
necessaires pour autoriser ou pas i'effacement d'un secteur ; 

-Tous les acces memoires passent obligatoirement par ce 
gestionnaire; 

-Le code ne doit pas etre alterable par le code d'un autre 
proprietaire non autorise. 

Une interface 25 de programmation applicative (API) simple 
decoulant des contraintes precedentes pourrait comprendre parexemple les 
fonctions suivantes : 

- error nv_write(dst_addr, src_addr, length): 

o dst_addr: adresse de destination ou seront ecrites 
les donnees 

o src_addr : adresse source a partir de laquelle les, 
donnees seront lues pour etre ecrites 

o length : longueur des donnees a ecrlre. 
Cette fonction permet d'ecrire en memoire des donnees lues a une 
certaine adresse apres avoir verifie le jeu de regies. 

error nv_fill(dst_addr. pattern, length): 

o dst_addr : adresse de destination ou commencera 
le remplissage de le memoire avec le pattern requis 
o pattern : octet a reproduire 
o length : taille de la zone a remplir 
Cette fonction permet d'ecrire en memoire des donnees d'un « pattern » 
apres avoir verifie le jeu de regies. 

Dans rexemple illustre sur la figure 1. si les applications et le 
systeme d'exploitation n'autorisent aucune modification ou aucun effacement 
par un tiers : 

o Dans le secteur 1, le gestionnaire n'autorisera 
aucune des applications, ni le systeme d'exploitation a effacer le secteur 
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car !e secteur est partage entre 4 partitions de proprietaires differents et 
aucun proprietaire autorise son voisin a modifier sa propre partition. Le 
secteur ne pourra etre efface uniquement que si les 4 partitions sont 
marquees par leur proprietaire comme effagables. 
5 o Dans le cas du secteur 2, le gestionnaire 

autorisera ['application n^'Z a effacer sa propre partition puisque le reste du 
secteur est vierge ; 

o Dans le cas du secteur 3, le secteur appartient 
entierement au systeme d'exploitation et done le systeme d'exploitation a 
10 tous les droits sur ce secteur. il peut done Teffacer. 
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REVENDICATIONS 



1 -Precede de controle d'acces a un secteur d'une memoire de type 
Flash d'un module electronique conslstant a verifier que le proprietaire des 
5 donnees a ecrire est autorise a acceder en ecriture a une partition dudit 
secteur caracterise en ce qu'll consiste a verifier au moins une r§gle 
suppl6mentaire sur le secteur conceme de maniere a autorlser un ^ventuel 
effacement de I'ensemble dudit secteur avant d'ecrire dans celui-cl. 

0 2-Procede selon la revendication 1, caract6ris6 en ce que la ou les 

r6gle(s) supplementaire(s) permette(nt) de verifier que Tecriture n'entraine 
pas la suppression de donnees de donnees d'un proprietaire autre que celui 
qui requiert I'acces en ecriture. 



15 3-Procede selon la revendication 2, caracterise en ce que ia 

verification s'appule sur une regie ou une combinaison de regies du type : 
I'ecriture est autorisee si : 

o Le secteur entier appartient au meme proprietaire, et/ou 
o Les pages n'appartenant pas au meme proprietaire sont 
20 vierges, et/ou 

o Les pages n'appartenant pas au meme proprietaire sont 
marques comme effagables, et/ou 

o L'emplacement dans le secteur duquel I'ecriture doit se faire 
est vierge, le secteur n'etant pas forcement totalement vierge. 



25 



30 



4- Procede selon I'une des revendicatlons 1 a 3, caracterise en ce 
qu'il consiste a marquerdes pages d'un secteur appartenant au proprietaire 
le demandant comme effagables. 

5- Module electronique comportant des moyens de traitement de 
I'infomiation, une memoire non volatile de type FLASH caracterise en ce 
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qu'il comporte un gestionnaire 17 de memoire consistant a verifier sur le 
secteur concerns au moins une r^gle supplementalre a celle consistant a 
verifier que le proprietaire des donnees ^ §crire est autorise a acceder en 
ecriture a une partition dudit secteur, de mani^re ^ autorlser un eventuel 
effacement de Tensemble dudit secteur avant d'^crire dans celul-ci. 

6- Module selon la revendication 5, caracterise en ce qu'il Intercepte 
toutes les ecritures en memoire Flash. 

7- Module selon I'une des revendications 5 ou 6, caracterise en ce 
que le gestionnaire 17 de memoire a accds a une description 27 des 
secteurs de la memoire comprenant le statut des pages desdits secteurs. 

8- Carte caracterisee en ce qu'elle comprend le module electronique 
selon I'une des revendications 5 a 7. 

9- Programme d'ordinateur comprenant des instructions de code de 
programme pour I'execution des etapes du procede selon I'une des 
revendications 1 a 4 lorsque ledit programme est execute dans un ensemble 
electronique. 
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ABREGE 



La presents Invention conceme un precede de controle d'acces a un 
secteur d'une memoire de type Flash d'un module electronique consistant a 
verifier que le proprietaire des donnees a ecrire est autorise a acceder en 
ecriture a une partition dudit secteur. Le proced§ consiste a verifier au moins 
une regie supplementaire sur le secteur concern^ de maniere a autoriser un 
eventuel effacement de I'ensemble dudIt secteur avant d'ecrire dans celul-d. 
La ou les r§gles permette(nt) de verifier que I'effacement du secteur 
conceme n'entraine pas la suppression de donnees a conserver. 

La presente Invention conceme egalement le module electronique 
dans lequel le precede est Implements. 



Figure de I'abrege : Fig.3 



12 



1/2 



10 



Partition Applii 



Partition AppliZ 



Partition Appli3 



Partition OS 




Partition OS 



Secteur 1 



15 



20 



Secteur 2 
FIG,1 



Secteur 3 



FLASH 




APPLI1 






APPLI2 






APPLI3 








FIG.2 



2/2 




UJ 

a: 

i 



Applil 



Appli2 




Gestionnaire de memoire 



Driver memoire 



Contr6!eur d*acces 















lolre 













25 



API du 

gestionnaire de 
memoire 




N : nombre total de 
secteurs dans la 
FLASH 



FIG,3 



